·
Teknikadoption
Hälsovård
Hälsovårds-IT / CIO
EU-regler för AI inom vården: MDR, GDPR och AI-förordningen
Navigera EU-regler för klinisk AI. Förstå MDR-krav för medicintekniska produkter, GDPR-dataskydd och AI-förordningens efterlevnadsskyldigheter för vårdorganisationer

AI inom hälso- och sjukvården i Europa omfattas inte av ett enda regelverk. Istället omfattas det av tre regelverk samtidigt, vart och ett med sin egen myndighet, sina egna efterlevnadskrav och sina egna verkställighetsmekanismer. Ett kliniskt AI-verktyg som stödjer diagnostiska beslut kan behöva CE-märkning som medicinteknisk produkt, måste hantera patientdata enligt den allmänna dataskyddsförordningen (GDPR) och kommer sannolikt att klassificeras som högrisk enligt EU:s AI-förordning. Dessa regelverk tillämpas inte i tur och ordning, utan parallellt och samverkar på sätt som inte alltid är enkla. För vårdorganisationer som utvärderar eller implementerar AI är förståelse för detta regelverk en förutsättning för ansvarsfull upphandling och säker klinisk användning.
De tre regulatoriska pelarna som varje AI-företag inom hälso- och sjukvården måste förstå
Tre olika EU-regelverk styr klinisk AI-implementering, vart och ett med olika primära fokusområden.
EU:s förordning om medicintekniska produkter (MDR) 2017/745 styr säkerhet och prestanda. Fokus ligger på om en produkt, inklusive programvara, är säker för sitt avsedda kliniska syfte och om den har validerats för att prestera enligt vad som utlovats.
GDPR styr integritet. Fokus ligger på hur personuppgifter, särskilt hälsodata, samlas in, behandlas, lagras och delas, samt på att säkerställa att individer behåller meningsfulla rättigheter över sin information.
EU:s AI-förordning (förordning (EU) 2024/1689, i kraft sedan 1 augusti 2024) styr systemrisk. Fokus ligger på om AI-system är transparenta, ansvarsfulla och föremål för adekvat mänsklig tillsyn, särskilt där dessa system påverkar grundläggande rättigheter eller säkerhetskritiska beslut.
Som en gemensam FAQ från Medical Device Coordination Group (MDCG) och EU AI Board (MDCG 2025-6) bekräftade 2025, måste AI-system som kvalificerar sig som medicintekniska produkter följa både MDR/IVDR och AI-förordningen samtidigt. Efterlevnad av ett regelverk ersätter inte efterlevnad av ett annat.
När AI inom hälso- och sjukvården kvalificerar sig som en medicinteknisk produkt enligt MDR
Enligt MDR 2017/745 är den centrala frågan om ett programvaruverktyg har ett medicinskt avsett syfte. Det vill säga om tillverkaren avser att det ska användas för diagnos, förebyggande, övervakning, förutsägelse, prognos, behandling eller lindring av sjukdom. Programvara som uppfyller denna definition klassificeras som Software as a Medical Device (SaMD) och måste följa hela MDR-regelverket.
Avsett syfte är den avgörande faktorn. Ett dokumentationsverktyg som transkriberar journalanteckningar utan att tolka eller påverka kliniska beslut befinner sig i en annan regulatorisk position än ett AI-system som flaggar avvikande fynd, föreslår diagnoser eller prioriterar patienttriage. Det senare klassificeras betydligt oftare som SaMD.
Om ett verktyg klassificeras som medicinteknisk produkt måste tillverkaren:
Genomföra en bedömning av överensstämmelse som är lämplig för produktens riskklassificering (klass I till III)
Ta fram och upprätthålla omfattande teknisk dokumentation
Implementera ett kvalitetsledningssystem (QMS)
Erhålla CE-märkning innan produkten släpps ut på EU-marknaden
Upprätthålla övervakning efter utsläppande på marknaden och rapportera allvarliga incidenter
Analys från King & Spalding av MDCG 2025-6-vägledningen identifierar fem viktiga operativa områden där MDR- och AI-förordningskrav konvergerar: ledningssystem, datastyrning, teknisk dokumentation, transparens och mänsklig tillsyn samt cybersäkerhet och noggrannhet. Tillverkare bör behandla dessa som integrerade krav snarare än parallella checklistor.
En praktisk komplikation är bristen på utsedda anmälda organ, de oberoende organisationer för bedömning av överensstämmelse som krävs för produktklassificeringar med högre risk. Baker McKenzie har noterat att denna flaskhals, i kombination med en betydande brist på harmoniserade standarder för AI-specifika risker såsom algoritmisk bias och modelldrift, skapar verkliga förseningar för tillverkare som söker marknadstillträde.
GDPR och klinisk AI: vad som räknas som särskilda kategorier av personuppgifter och varför det spelar roll
Hälsodata som behandlas av AI-system klassificeras som särskilda kategorier av personuppgifter enligt artikel 9 i GDPR, vilket ger den högsta skyddsnivån som finns tillgänglig enligt EU:s dataskyddslagstiftning. Denna klassificering gäller oavsett om AI-systemet är den primära personuppgiftsansvarige eller en nedströmsbehandlare. Det är uppgifternas karaktär, inte behandlarens roll, som avgör klassificeringen.
För kliniska AI-implementeringar har detta flera direkta konsekvenser.
Rättslig grund. Behandling av särskilda kategorier av hälsodata kräver både en rättslig grund enligt artikel 6 och ett ytterligare villkor enligt artikel 9. I kliniska sammanhang är de vanligast tillämpliga villkoren enligt artikel 9: behandling som är nödvändig för medicinsk diagnos eller tillhandahållande av hälso- och sjukvård (artikel 9.2 h), behandling av skäl som rör allmänintresset inom folkhälsoområdet (artikel 9.2 i), och, där ingetdera gäller, uttryckligt samtycke (artikel 9.2 a). Samtycke är sällan den mest lämpliga grunden i kliniska miljöer, med tanke på den inneboende maktasymmetrin mellan patienter och vårdgivare.
Dataminimering och ändamålsbegränsning. AI-system får endast behandla de uppgifter som är nödvändiga för deras specificerade syfte, och dessa uppgifter kan inte användas för andra ändamål utan en ny rättslig grund. Detta skapar särskild spänning där leverantörer vill använda kliniska data för modellträning eller förbättring, en användning som vanligtvis skiljer sig från det ursprungliga kliniska syftet.
Registrerades rättigheter. Patienter behåller rätt till tillgång, rättelse och i vissa fall radering, även där deras data har behandlats av AI-system. Vårdorganisationer måste kunna svara på dessa förfrågningar även för data som innehas eller behandlas av AI-leverantörer.
En granskning av integritets- och styrningsramverk för AI-drivna vårdenheter betonade att GDPR-efterlevnad i AI-aktiverade kliniska miljöer kräver inte bara tekniska kontroller utan även pågående styrningsstrukturer, inklusive konsekvensbedömningar avseende dataskydd (DPIA), register över behandlingsverksamhet och tydligt definierade personuppgiftsbiträdesavtal.
Datalokalisering och gränsöverskridande dataflöden i EU:s AI för hälso- och sjukvård
GDPR inför strikta begränsningar för överföring av personuppgifter utanför Europeiska ekonomiska samarbetsområdet (EES). För kliniska AI-leverantörer innebär detta att om patientdata behandlas eller lagras på infrastruktur utanför EES, inklusive på molnplattformar i USA eller på annat håll, måste specifika överföringsmekanismer finnas på plats.
De huvudsakliga mekanismerna är:
Beslut om adekvat skyddsnivå, där Europeiska kommissionen har fastställt att ett tredjeland tillhandahåller en likvärdig nivå av dataskydd (täcker för närvarande ett begränsat antal jurisdiktioner)
Standardavtalsklausuler (SCC), som inför avtalsmässiga skyldigheter för både dataexportören och importören
Bindande företagsbestämmelser (BCR), som främst används inom multinationella företagsgrupper
För vårdorganisationer är den praktiska frågan inte bara om en leverantör har undertecknat SCC, utan var data faktiskt behandlas och lagras. Datalokalisering inom EU innebär att patientdata behandlas och lagras på infrastruktur som fysiskt finns inom EES. Detta eliminerar behovet av gränsöverskridande överföringsmekanismer och förenklar GDPR-efterlevnaden avsevärt. Vårdorganisationer bör kräva att leverantörer specificerar detta i avtalsdokumentationen.
En jämförande policyanalys av cybersäkerhetsreglering inom digital hälsa i USA, EU och Indien noterade att EU:s tillvägagångssätt för datasuveränitet inom hälso- och sjukvården är betydligt mer föreskrivande än i andra jurisdiktioner, en faktor som påverkar hur globala AI-leverantörer utformar sina produkter för europeiska marknader.
Hur EU:s AI-förordning klassificerar AI inom hälso- och sjukvården och vad högrisk betyder i praktiken
EU:s AI-förordning etablerar ett riskbaserat klassificeringssystem med fyra nivåer: oacceptabel risk (förbjuden), högrisk, begränsad risk och minimal risk. De flesta kliniska AI-verktyg, inklusive diagnostiska stödsystem, triageverktyg och kliniska dokumentationsassistenter som påverkar vårdvägar, faller sannolikt inom kategorin högrisk.
Enligt artikel 6.1 och bilaga I i AI-förordningen klassificeras AI-system som redan regleras som medicintekniska produkter enligt MDR eller IVDR automatiskt som AI-system med högrisk. CE-märkt SaMD omfattas därför av både MDR-krav på överensstämmelse och det fullständiga regelverket för AI-förordningen för högrisk.
Hunton Andrews Kurths analys av AI-förordningens tillämpning på medicintekniska produkter anger de viktigaste skyldigheterna för AI-system med högrisk:
Teknisk dokumentation: Detaljerade register över systemdesign, träningsdata, valideringsmetodik och kända begränsningar
Riskhantering: Ett pågående riskhanteringssystem som täcker AI-specifika risker, inklusive algoritmisk bias och modelldrift
Datastyrning: Krav kring tränings-, validerings- och testdataset, inklusive detektering av bias och datakvalitetskontroller
Transparens och bruksanvisningar: Tydlig dokumentation så att användare och tillämpare kan förstå systemets kapacitet och begränsningar
Mänsklig tillsyn: Tekniska och organisatoriska åtgärder som säkerställer att människor effektivt kan övervaka, åsidosätta och ingripa i AI-utdata
Bedömning av överensstämmelse: Formell bedömning innan utsläppande på marknaden, med pågående övervakning efter utsläppande på marknaden
Registrering: AI-system med högrisk måste registreras i EU:s databas för AI-system
AI-förordningen inför även krav på AI-kompetens, gällande från februari 2025, som innebär att leverantörer och användare måste säkerställa att personal som arbetar med AI-system har tillräcklig förståelse för teknikens kapacitet och begränsningar. Taylor Wessing noterar att denna skyldighet gäller även för vårdorganisationer som implementerar AI-verktyg, inte bara för leverantörerna.
Där MDR, GDPR och AI-förordningen överlappar och där de står i konflikt
De tre regelverken har flera gemensamma drag. Alla kräver transparens om hur ett system fungerar, vilka data det använder och vilka dess begränsningar är. Alla kräver dokumenterad riskhantering. Alla inför övervakning efter utsläppande på marknaden eller pågående övervakningsskyldigheter. Där MDR kräver övervakning efter utsläppande på marknaden och AI-förordningen kräver övervakning efter utsläppande på marknaden, kan dessa skyldigheter i princip hanteras genom en enhetlig process.
En referentgranskad analys publicerad 2025 som undersökte det regulatoriska sambandet mellan AI-förordningen och MDR/IVDR bekräftade att det QMS som krävs enligt MDR kan utgöra grund för efterlevnad av AI-förordningen, och att krav på teknisk dokumentation enligt båda regelverken kan integreras snarare än dupliceras. Artikel 8 i AI-förordningen förutser uttryckligen denna integration för AI-medicintekniska produkter.
Verkliga spänningar finns dock.
Datalagring kontra dataminimering. AI-förordningen uppmuntrar, och i vissa fall kräver, lagring av träningsdata, valideringsdataset och loggar för revisions- och ansvarssyften. GDPR:s principer om dataminimering och lagringsbegränsning går i motsatt riktning. Leverantörer måste hantera denna spänning explicit, vanligtvis genom ändamålsspecifika lagringsscheman och anonymisering där det är möjligt.
Transparens kontra kommersiell konfidentialitet. Både AI-förordningen och GDPR kräver meningsfull transparens om hur AI-system behandlar data och når utdata. I praktiken kan leverantörer motsätta sig att avslöja proprietära modellarkitekturer. Regelverken löser inte denna spänning helt.
Algoritmisk bias och GDPR:s rättviseprincip. GDPR kräver att automatiserad behandling ska vara rättvis, men specificerar inte hur rättvisa ska mätas i AI-system. AI-förordningen introducerar mer specifika datastyrningskrav kring detektering av bias, men akademiska kommentarer har noterat att inget av regelverken ger definitiv metodologisk vägledning för utvecklare av AI inom hälso- och sjukvården.
Regelverkslandskapet är i förändring. Två konkurrerande EU-lagstiftningsförslag, Digital Omnibus (ledd av GD CONNECT) och GD SANTE MDR/IVDR-ändringen, syftar båda till att förenkla överlappningen mellan AI-förordningen och MDR. Analys från Petrie-Flom Center vid Harvard Law School väcker oro för att förenklingsinsatser oavsiktligt kan försvaga skyddsåtgärder för mänsklig tillsyn, särskilt för kliniker och patienter. Resultatet av dessa förslag är fortfarande osäkert i mitten av 2026.
Vem är ansvarig enligt varje regelverk: leverantören, sjukhuset eller båda
Regulatoriskt ansvar enligt de tre regelverken är fördelat snarare än entydigt, och fördelningen skiljer sig beroende på vilket regelverk som gäller.
Enligt MDR faller den primära skyldigheten på tillverkaren, vanligtvis AI-leverantören. Tillverkaren är ansvarig för bedömning av överensstämmelse, CE-märkning, teknisk dokumentation och övervakning efter utsläppande på marknaden. En vårdorganisation som implementerar en CE-märkt SaMD utan modifiering agerar i allmänhet som operatör snarare än tillverkare, med mer begränsade skyldigheter.
Enligt GDPR beror fördelningen på vem som bestämmer ändamålen och medlen för behandlingen. En vårdorganisation som implementerar ett AI-system för att behandla patientjournaler är vanligtvis personuppgiftsansvarig och bär primärt ansvar för rättslig grund, patienträttigheter och DPIA-skyldigheter. AI-leverantören, som behandlar data på organisationens uppdrag, är vanligtvis personuppgiftsbiträde, bunden av ett personuppgiftsbiträdesavtal (DPA) som specificerar omfattningen och villkoren för behandlingen.
Enligt EU:s AI-förordning görs en åtskillnad mellan leverantörer (de som utvecklar eller släpper ut AI-system på marknaden) och tillämpare (de som använder AI-system i ett professionellt sammanhang). Leverantörer bär den primära efterlevnadsbördan för AI-system med högrisk, vilket omfattar teknisk dokumentation, bedömning av överensstämmelse och registrering. Tillämpare har egna skyldigheter: implementera åtgärder för mänsklig tillsyn, säkerställa AI-kompetens bland personal, övervaka systemprestanda i användning och avbryta användning där säkerhetsproblem uppstår.
White & Cases analys av landskapet efter AI-ansvarsdirektivet, efter tillbakadragandet av det direktivet i februari 2025, bekräftar att det reviderade produktansvarsdirektivet nu utgör en del av ansvarsramverket för AI-drivna medicintekniska produkter, med konsekvenser för både tillverkare och tillämpare där skada uppstår från ett defekt AI-system.
Ett sjukhus som implementerar ett kliniskt AI-verktyg kan inte utgå från att regulatorisk efterlevnad helt är leverantörens ansvar. Avtalsmässig tydlighet om roller, skyldigheter och ansvarsfördelning är avgörande före implementering.
Vad vårdorganisationer bör fråga AI-leverantörer innan implementering
Upphandlingsteam och kliniska ledare som utvärderar AI-verktyg för klinisk implementering bör söka tydliga, dokumenterade svar på följande frågor.
Om MDR och status som medicinteknisk produkt:
Är denna produkt klassificerad som medicinteknisk produkt enligt EU MDR 2017/745?
Om ja, vad är dess riskklassificering och har CE-märkning erhållits?
Kan ni tillhandahålla försäkran om överensstämmelse och sammanfattning av säkerhet och klinisk prestanda?
Hur genomförs övervakning efter utsläppande på marknaden och hur rapporteras incidenter?
Om GDPR och databehandling:
Var behandlas och lagras patientdata? Garanteras datalokalisering inom EU?
Kommer ni att underteckna ett personuppgiftsbiträdesavtal som är förenligt med GDPR artikel 28?
Finns en konsekvensbedömning avseende dataskydd tillgänglig för granskning?
Används patientdata för modellträning eller förbättring? Om så är fallet, på vilken rättslig grund?
Hur hanteras registrerades rättigheter (tillgång, radering, rättelse)?
Om EU:s AI-förordning:
Är detta system klassificerat som ett AI-system med högrisk enligt EU:s AI-förordning?
Vilken bedömning av överensstämmelse har genomförts, eller planeras, enligt AI-förordningen?
Vilken teknisk dokumentation finns tillgänglig som täcker träningsdata, validering och kända begränsningar?
Vilka mekanismer för mänsklig tillsyn är inbyggda i systemet?
Är systemet registrerat i EU:s databas för AI-system?
Om säkerhet och revision:
Har organisationen ISO 27001-certifiering, och är den aktuell?
Vilka revisionsspårsmöjligheter tillhandahåller systemet?
Hur identifieras och hanteras cybersäkerhetssårbarheter efter implementering?
Om AI-kompetens:
Vilken utbildning eller dokumentation tillhandahålls för att stödja skyldigheter för AI-kompetens enligt AI-förordningen?
Ofullständiga eller undvikande svar på dessa frågor bör ses som en betydande upphandlingsrisk.
Hur regelverkslandskapet utvecklas: vad att bevaka genom 2026 och framåt
EU:s AI-förordning trädde i kraft i augusti 2024, men dess skyldigheter gäller enligt en stegvis tidslinje. Viktiga milstolpar inkluderar:
Februari 2025: Förbud mot AI-system med oacceptabel risk gäller. Skyldigheter för AI-kompetens för leverantörer och tillämpare träder i kraft
Augusti 2026: Skyldigheter för AI-system med högrisk enligt kapitel III gäller fullt ut, inklusive de för AI-medicintekniska produkter enligt bilaga I
Augusti 2027: Full tillämplighet över alla återstående bestämmelser
MDX CRO:s efterlevnadsguide noterar att övergångsbestämmelser finns för AI-system som redan lagligen finns på marknaden före augusti 2026, men dessa bestämmelser är tidsbegränsade och undantar inte tillverkare från eventuell fullständig efterlevnad.
Två ytterligare utvecklingar förtjänar nära uppmärksamhet.
Förordningen om det europeiska hälsodatautrymmet (EHDS) trädde i kraft den 26 mars 2025. EHDS skapar ett ramverk för sekundär användning av hälsodata, inklusive för AI-utveckling och forskning, över EU:s medlemsstater. Europeiska kommissionens officiella vägledning om AI inom hälso- och sjukvården identifierar EHDS som en nyckelaktör för ansvarsfull klinisk AI-utveckling, men dess samverkan med GDPR:s princip om ändamålsbegränsning kommer att kräva fortsatt förtydligande när implementeringen fortskrider.
Konkurrerande förenklingsförslag, Digital Omnibus och GD SANTE MDR/IVDR-ändringen, syftar båda till att minska efterlevnadsbördan vid skärningspunkten mellan MDR och AI-förordningen. Som Harvard Law Schools Petrie-Flom Center har observerat, kan resultatet av dessa förslag avsevärt förändra efterlevnadslandskapet för klinisk AI, antingen genom att effektivisera dubbla krav på överensstämmelse eller, om bestämmelser om mänsklig tillsyn försvagas, genom att skapa nya patientsäkerhetsrisker.
Osäkerhet om lagligheten av AI-användning i specifika kliniska sammanhang förblir en verklig utmaning för vårdgivare, även där ramverk finns. Regulatorisk efterlevnad inom klinisk AI är inte en engångsupphandlingschecklista. Det kräver pågående övervakning av en regulatorisk miljö som fortsätter att förändras, och en styrningsstruktur som kan reagera när skyldigheter utvecklas.
Vanliga frågor
▶ Vilka regelverk gäller för klinisk AI i Europa?
Tre EU-regelverk gäller samtidigt för klinisk AI. Förordningen om medicintekniska produkter (MDR) 2017/745 styr säkerhet och prestanda. Den allmänna dataskyddsförordningen (GDPR) styr hur patientdata samlas in, behandlas och lagras. EU:s AI-förordning (förordning (EU) 2024/1689), i kraft sedan 1 augusti 2024, styr transparens, ansvarsskyldighet och mänsklig tillsyn. En gemensam FAQ från Medical Device Coordination Group och EU AI Board bekräftade 2025 att efterlevnad av ett regelverk inte ersätter efterlevnad av ett annat.
▶ När kvalificerar sig ett kliniskt AI-verktyg som en medicinteknisk produkt enligt EU MDR?
Ett kliniskt AI-verktyg kvalificerar sig som medicinteknisk produkt när tillverkaren avser att det ska användas för diagnos, förebyggande, övervakning, förutsägelse, prognos, behandling eller lindring av sjukdom. Programvara som uppfyller denna definition klassificeras som Software as a Medical Device (SaMD). Ett dokumentationsverktyg som transkriberar journalanteckningar utan att påverka kliniska beslut befinner sig i en annan regulatorisk position än ett AI-system som flaggar avvikande fynd eller prioriterar patienttriage. Det senare klassificeras betydligt oftare som SaMD och måste erhålla CE-märkning innan det släpps ut på EU-marknaden.
▶ Hur gäller GDPR för hälsodata som behandlas av AI-system?
Hälsodata som behandlas av AI-system klassificeras som särskilda kategorier av personuppgifter enligt artikel 9 i GDPR, vilket ger den högsta skyddsnivån som finns tillgänglig enligt EU:s dataskyddslagstiftning. Att behandla dessa kräver både en rättslig grund enligt artikel 6 och ett ytterligare villkor enligt artikel 9. I kliniska sammanhang är de vanligast tillämpliga villkoren behandling som är nödvändig för medicinsk diagnos eller tillhandahållande av hälso- och sjukvård, samt behandling av skäl som rör allmänintresset inom folkhälsoområdet. AI-system måste också tillämpa dataminimering, vilket innebär att de endast får behandla data som är nödvändig för deras specificerade syfte, och att dessa data inte får användas för andra ändamål utan en ny rättslig grund.
▶ Vad betyder datalokalisering inom EU för kliniska AI-leverantörer?
Datalokalisering inom EU innebär att patientdata behandlas och lagras på infrastruktur som fysiskt finns inom Europeiska ekonomiska samarbetsområdet (EES). GDPR inför strikta begränsningar för överföring av personuppgifter utanför EES, så om en leverantör behandlar data på infrastruktur i USA eller på annat håll, måste specifika överföringsmekanismer finnas på plats, såsom standardavtalsklausuler. Datalokalisering inom EU eliminerar behovet av dessa mekanismer och förenklar GDPR-efterlevnaden avsevärt. Vårdorganisationer bör kräva att leverantörer specificerar arrangemang för datalokalisering i avtalsdokumentationen.
▶ Hur klassificerar EU:s AI-förordning AI-verktyg inom hälso- och sjukvården?
EU:s AI-förordning etablerar ett riskbaserat klassificeringssystem med fyra nivåer: oacceptabel risk (förbjuden), högrisk, begränsad risk och minimal risk. De flesta kliniska AI-verktyg, inklusive diagnostiska stödsystem, triageverktyg och kliniska dokumentationsassistenter som påverkar vårdvägar, faller sannolikt inom kategorin högrisk. Enligt artikel 6.1 och bilaga I i AI-förordningen klassificeras AI-system som regleras som medicintekniska produkter enligt MDR automatiskt som AI-system med högrisk, vilket gör dem föremål för både MDR-krav på överensstämmelse och det fullständiga regelverket för AI-förordningen för högrisk.
▶ Var överlappar eller står MDR, GDPR och EU:s AI-förordning i konflikt?
Alla tre regelverken kräver transparens, dokumenterad riskhantering och pågående övervakningsskyldigheter. En referentgranskad analys publicerad 2025 bekräftade att kvalitetsledningssystemet som krävs enligt MDR kan utgöra grund för efterlevnad av AI-förordningen, och att krav på teknisk dokumentation enligt båda regelverken kan integreras snarare än dupliceras. Verkliga spänningar finns dock. AI-förordningen uppmuntrar lagring av träningsdata och loggar för revisionssyften, medan GDPR:s principer om dataminimering och lagringsbegränsning går i motsatt riktning. Leverantörer måste hantera denna spänning explicit, vanligtvis genom ändamålsspecifika lagringsscheman och anonymisering där det är möjligt.
▶ Vem är ansvarig för regulatorisk efterlevnad: AI-leverantören eller vårdorganisationen?
Ansvaret är fördelat över alla tre regelverken, och fördelningen skiljer sig beroende på vilket regelverk som gäller. Enligt MDR faller den primära skyldigheten på tillverkaren, vanligtvis AI-leverantören, som är ansvarig för CE-märkning, teknisk dokumentation och övervakning efter utsläppande på marknaden. Enligt GDPR är vårdorganisationen som implementerar AI-systemet vanligtvis personuppgiftsansvarig och bär primärt ansvar för rättslig grund och patienträttigheter, medan leverantören agerar som personuppgiftsbiträde. Enligt EU:s AI-förordning bär leverantörer som tillhandahållare den huvudsakliga efterlevnadsbördan för AI-system med högrisk, men tillämpande organisationer har egna skyldigheter, inklusive att implementera mänsklig tillsyn och säkerställa personalens AI-kompetens. Ett sjukhus som implementerar ett kliniskt AI-verktyg kan inte utgå från att regulatorisk efterlevnad helt är leverantörens ansvar.
▶ Vilka frågor bör vårdorganisationer ställa till AI-leverantörer innan implementering?
Upphandlingsteam bör be leverantörer att bekräfta om produkten har CE-märkning som medicinteknisk produkt och vad dess riskklassificering är. Om dataskydd bör de fråga var patientdata behandlas och lagras, om datalokalisering inom EU garanteras och om patientdata används för modellträning och på vilken rättslig grund. Om EU:s AI-förordning bör de fråga om systemet klassificeras som högrisk, vilken bedömning av överensstämmelse som har genomförts och vilka mekanismer för mänsklig tillsyn som är inbyggda. Om säkerhet bör de fråga om leverantören har aktuell ISO 27001-certifiering. Ofullständiga eller undvikande svar bör ses som en betydande upphandlingsrisk.
▶ När träder EU:s AI-förordnings skyldigheter för kliniska AI-system med högrisk i full kraft?
EU:s AI-förordning trädde i kraft den 1 augusti 2024, men dess skyldigheter gäller enligt en stegvis tidslinje. Förbud mot AI-system med oacceptabel risk och skyldigheter för AI-kompetens för leverantörer och tillämpare trädde i kraft i februari 2025. Skyldigheter för AI-system med högrisk enligt kapitel III, inklusive de för AI-medicintekniska produkter, gäller fullt ut från augusti 2026. Full tillämplighet över alla återstående bestämmelser följer i augusti 2027. Övergångsbestämmelser finns för AI-system som redan lagligen finns på marknaden före augusti 2026, men dessa är tidsbegränsade och undantar inte tillverkare från eventuell fullständig efterlevnad.
▶ Vad är det europeiska hälsodatautrymmet och hur påverkar det klinisk AI?
Förordningen om det europeiska hälsodatautrymmet (EHDS) trädde i kraft den 26 mars 2025. Den skapar ett ramverk för sekundär användning av hälsodata, inklusive för AI-utveckling och forskning, över EU:s medlemsstater. Europeiska kommissionen identifierar EHDS som en nyckelaktör för ansvarsfull klinisk AI-utveckling. Dess samverkan med GDPR:s princip om ändamålsbegränsning, som begränsar data från att användas för andra ändamål utan en ny rättslig grund, kommer att kräva fortsatt förtydligande när implementeringen fortskrider.